摘要： PreparedStatement可以防止sql注入问题，效率更高 先进行预编译sql，将要设置的字段值使用占位符 本质：预编译会将传递进来的参数包裹成字符，而单引号会被转义字符转换为空内容，有效的防止sql注入的问题 CRUD--SELECT String sql = "select * from 阅读全文